Artigo – Vamos comentar sobre a a multa por infração e demais sanções* previstas na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei Nº 13.709/2018).

*esse artigo está atualizado com os recentes esclarecimentos da Autoridade Nacional de Proteção de Dados (ANPD) sobre o tema.

(Se você desconhece os termos: tratamento de dados, legítimo interesse, controlador, operador, entre outros, recomendamos a leitura deste Guia).

1. As multas e demais sanções da LGPD já estão em vigor?

As sanções administrativas entraram em vigor em 1º de agosto de 2021.

2. Quem pode ser multado com base na LGPD?

Tanto pessoas físicas quanto pessoas jurídicas de direito público e de privado poderão ser multadas por descumprimento da Lei, notadamente aquelas que realizam o tratamento de dados pessoais (coleta, armazenamento, distribuição etc.) vejamos os exemplos:

• um advogado que coleta dados de um cliente para propor alguma medida judicial;
• um estabelecimento comercial que para formalizar uma compra solicita informações sobre o consumidor.

Vale ressaltar que a LGPD não é aplicada as pessoas físicas que usam dados pessoais com a finalidade domésticas e sem  fins econômicos. Por exemplo, utilização de rede social, troca de correspondências, lista de contatos, blogs etc.

3. Qual autoridade pode aplicar a multa por infração?

No âmbito da LGPD, caberá a Autoridade Nacional de Proteção de Dados (ANPD) a fiscalização do cumprimento da Lei e também impor sanções administrativas.

4. LGPD: multa por infração

4.1 Multa simples – art. 52, inciso II:

multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração (grifos nossos);

Com o devido respeito, o dispositivo não foi  bem  elaborado, visto que existem contradições gritantes sobre quem pode ser responsabilizado por descumprimento da LGPD.

Conforme explicado no item 2,  a LGPD deve ser cumprida por pessoas físicas e por pessoas jurídicas, ou seja, ambas devem ser responsabilizadas nos casos em que cometerem alguma ilegalidade.

Todavia, somente há previsão para punição de pessoas jurídicas, sendo assim, frontalmente contrária a intenção da LGPD, qual seja:  proteger nossos dados pessoais, seja por irregularidade praticadas por pessoas físicas ou por pessoas jurídicas.

Outro ponto  da Lei que tem sido bastante criticado é o termo “multa por infração“, pois, até o presente momento, não existe um critério que ajude a definir quais condutas serão levadas em consideração para aplicá-la na prática.

Em outra palavras, dependendo de como ela for a interpretada, poderá acarretar as empresas um excesso de penalidades desproporcionais e com caráter arrecadatório.

Vejamos o exemplo:

• se uma empresa, sem consentimento, obter dados sensíveis de todos os seus clientes (200 pessoas ao todo), mediante apenas um ato ilegal.

Nesse caso, se utilizarmos o critério por quantidade de  ato ilegal praticado, a princípio, somente seria aplicada uma multa.

Por outro lado, imaginem se fosse aplicada uma multa por cada pessoa que sofreu algum dano devido a invasão de sua privacidade, a empresa poderia, em tese, sofrer até 200 multas, ou seja, utilizamos o critério por pessoas, não por atos ilegais.

Por esse motivos aqui expostos, foi criado o Projeto de Lei  nº 3.420/2019 para retirar o termo “por infração” do artigo 52, inciso II.

4.2. Multa diária – art. 52, inciso III:

multa diária, observado o limite total a que se refere o inciso II;

A multa diária do modo que foi redigida também traz dificuldades para sua aplicação, já que existe um grande debate jurídico sobre correta utilização desta multa, também conhecida como astreintes.

O Superior Tribunal de Justiça (STJ) tem entendido que a fixação da multa diária deve ser proporcional ao valor da obrigação.

Porém, o que causa maior preocupação é que o limite do valor da multa diária é igual ao da multa simples (até 2% do faturamento líquido da empresa), ou seja, esta multa, se for aplicada nesses termos, tem um grande potencial de gerar danos econômicos irreparáveis as empresas.

Todavia, ainda é muito incipiente para sabermos como será aplicada a multa diária na prática, mas, independentemente disso, as sanções previstas na LGPD – quando forem fixadas – devem ter como parâmetros:

5. Dos parâmetros para fixação multa por infração – LGPD

Deve ser lavado em consideração para fixação de multa o que segue:

• a gravidade e a natureza das infrações e dos direitos pessoais afetados;
• a boa-fé do infrator;
• a vantagem auferida ou pretendida pelo infrator;
• a condição econômica do infrator;
• a reincidência;
• o grau do dano;
• a cooperação do infrator;
• a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD;
• a adoção de política de boas práticas e governança;
• a pronta adoção de medidas corretivas; e
• a proporcionalidade entre a gravidade da falta e a intensidade da sanção

6. Conclusão

Como podemos ver, existem muitas dúvidas sobre como e quando será aplicada a multa por infração, contudo, não podemos ignorar o fato de que precisamos aumentar a nossa consciência sobre a utilizamos dados pessoais.

É necessário esclarecer que Lei não foi criada com fins arrecadatórios, muito pelo contrário, inclusive, um dos seus fundamentos basilares é o desenvolvimento econômico, art. 2, inciso V.

Além disso, também existe sanção administrativa de caráter educativo – advertência, art. 52, inciso I. Nessa penalidade, o indivíduo terá a oportunidade de corrigir as irregularidades que cometeu dentro de um prazo estabelecido pela ANPD, não havendo, portanto, nenhuma sanção pecuniária.

Informações adicionais

Se você estiver em busca de informações sobre como se adequar à LGPD, recomendamos a leitura do artigo em destaque.